Кто-то копирует ваши коды. В течение девяти месяцев они входят в ваш дом и на рабочее место по своему желанию, вынюхивая ваши самые интимные личные слова и поступки. Вы никогда не узнаете, как много они узнали и действительно ли ушли насовсем. Примерно 18 000 других людей находятся в аналогичном положении.
Таков результат, грубо говоря, взлома софтверной компании SolarWinds почти наверняка российской внешней разведкой, СВР, который всплыл на прошлой неделе. Нападение не было грубым или разрушительным (за исключением репутации). Хакеры взломали систему безопасности компании, базирующейся в Остине, штат Техас, которая продает скучные, но важные системы, помогающие функционировать компьютерным сетям. Этот взлом позволил русским вмешиваться в обновления программного обеспечения, которые компания рассылала своим клиентам. Автоматически установленные, эти поврежденные программы давали россиянам возможность свободно перемещаться по сетям.
Это не была кибератака в обычном смысле этого слова. Она не предполагала кражи технических секретов с целью их копирования (тактика, характерная для Китая). Она также не шифровала данные с целью вымогательства выкупа (самая распространенная и прибыльная преступная атака). Она не была направлена на сбой сетей (что Россия сделала в Эстонии в 2007 году) или атаку на данные, хранящиеся на компьютерах, жизненно важных для критической инфраструктуры (что Россия сделала на Украине в 2017 году). Она также не включала в себя сброс украденной информации в интернет для политических целей (что Россия сделала, чтобы навредить кампании Хиллари Клинтон в 2016 году). И это не было связано с распространением дезинформации, чтобы запутать избирателей.
Цель была проста: получить доступ к информации клиентов SolarWinds, включая агентства и департаменты в самом сердце правительства США и, как мы можем предположить, его союзников, включая Великобританию. Мотивы неясны. Была ли цель выяснить, как работают системы? Или также получить зацепки (например, профессиональные разочарования и личные слабости), которые могут быть использованы для шантажа и лести при вербовке агентов? Самое тревожное, смогут ли злоумышленники создать хаос в будущем путем саботажа или изменения данных? Даже разоблаченный, этот взлом имеет пропагандистскую ценность, подчеркивая статус России как киберсверхдержавы.
Напыщенные разговоры о контрмерах со стороны избранного президента Джо Байдена и других американских политиков абсурдны, лицемерны и опасны. Обычная реакция на враждебный шпионаж, когда он обнаруживается, заключается в изгнании шпионов из посольств и преследовании их сообщников. Но эта атака была проведена дистанционно. Нападение на гражданскую инфраструктуру в России будет непропорциональным и незаконным — и вызовет ответные меры.
Киран Мартин (Ciaran Martin), бывший сотрудник разведывательного управления Центра правительственной связи Великобритании (GCHQ), работающий ныне в Оксфордском университете, говорит, что вместо «грандиозных видений скрытой цифровой борьбы» нам нужно «переосмыслить рынки и регулирование». Короче говоря, эта атака сработала, потому что наши системы были к этому не готовы. Клиенты SolarWinds не действовали по принуждению. Они покупали ее продукцию, потому что были экономны и доверчивы. Теперь они расплачиваются. С самого зарождения интернета мы неизменно ставили удобство, дешевизну и возможности выше безопасности. Это работает в краткосрочной перспективе. Но это также облегчает жизнь тем, кто хочет атаковать доступность, конфиденциальность и целостность наших данных.
Поэтому не случайно, что наше оборудование и программное обеспечение в основном ненадежны, и поэтому, когда они подводят, результаты бывают часто катастрофическими. Это похоже на то, как если бы мы все решили покупать дешевые, некачественные автомобили и тратить как можно меньше времени и денег на их безопасность. Затем мы будем кое-как ездить на них по плохим дорогам и принимать аварии как часть жизни.
Росс Андерсон (Ross Anderson), профессор инженерной безопасности Кембриджского университета, говорит, что «примитивные экономики и извращенные институциональные стимулы» предпочитают атаку обороне. Любой, кто найдет изъян в программном или аппаратном обеспечении, лучше продаст его шпионскому агентству, охранной компании или преступному синдикату, чем сообщит об этом производителю. Эффективное кибероружие часто плохо охраняется. В 2017 году группа под названием The Shadow Brokers украла большой запас хакерских инструментов, разработанных американскими агентствами. В мире шпионов уничтожение иранской центрифуги или кража китайского секрета повысят вашу карьеру таким образом, что суетиться над протоколами хранения данных никто не будет.
Под эгидой государственного регулирования
Сигналы рынка могли бы помочь. Падение цен на акции и разъяренные клиенты должны ставить под угрозу корпоративную карьеру [хотя Дидо Хардинг (Dido Harding), босс TalkTalk Group, когда эта компания была подвергнута кибератаке в 2015 году, этого совсем не ощутила]. Страховые компании помогают повысить стандарты, потому что не любят платить по искам, но еще многое предстоит сделать для кибербезопасности. Лучше делать ставку на государственное регулирование. Наши правила безопасности на железнодорожном и воздушном транспорте намного лучше, чем те, что предназначены для жизненно важных информационных технологий. Никто не заставляет нас пренебрегать этим. Мы делаем это для самих себя. И наши враги пожинают плоды.